gukov 9/6/19 3:51 PM Page 36

ТЕХНОЛОГИИ

Dual EC – криптографический
стандарт с лазейкой
Алексей Жуков, председатель совета Ассоциации “РусКрипто”
Александра Маркелова, технический директор ООО НТЦ “Альфа-Проект”, к.ф.-м.н.

М
ы рассмотрим историю генератора псевдослучайных чисел
Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random
Bit Generator), ставшего в свое время федеральным
криптографическим стандартом в США и продвинутого
в международные криптографические стандарты. Несмотря
на огромное количество работ, содержащих его серьезнейшую
критику, данный стандарт просуществовал как часть
стандартов ANSI и ISO/IEC с 2006 по 2015 г. По всеобщему
мнению криптографических экспертов (не подтвержденному,
однако, на официальном государственном уровне), этот
алгоритм содержит лазейку, позволяющую владельцу ключа
к лазейке вычислять по выходу генератора его внутреннее
состояние, а затем предсказывать вырабатываемые им числа.

Обстоятельства, чисел (далее – ГСЧ и ГПСЧ) и в проекте стандарта ANSI

АНБ – Агентство нацио-
нальной безопасности США
(National Security Agency –
NSA) – специализированный
орган в системе министерст-
ва обороны США, осуществ-
ляет разведывательные
функции в электронных ком-
муникационных сетях, а
также защиту американских
правительственных и ведом-
ственных закрытых линий
связи. АНБ располагает
широко разветвленной
сетью пунктов подслушива-
ния, радиоперехвата и
радиопеленгации, располо-
женных во многих районах
земного шара.
сопровождавшие про-
цесс утверждения этого
алгоритма в качестве
криптографи ч е с к о г о
стандарта на националь-
ном и международном
уровне, а также роль
АНБ в этом процессе
лишь укрепляют убежде-
ние, что в данном случае
мы имеем дело с успеш-
ной реализацией давней
идеи государственных
структур США о внедре-
нии лазеек в криптоал-
горитмы, являющиеся государст-
венными (а еще лучше – меж-
дународными) криптографиче-
скими стандартами [1].
История Dual EC:
появление,
стандартизация,
модификация, отмена
Следует сразу сказать, что
мы приводим историю
Dual_EC_DRBG (Dual EC – для
краткости) в той степени, в кото-
рой она известна обществен-
ности, т.е. пользуясь материа-
лами, опубликованными в
открытой печати. Сам алгоритм
был впервые представлен на
семинаре NIST по генерации
случайных чисел в 2004 г. у как
"теоретико-числовой генера-
тор", использующий вычисления
в группе точек эллиптической
кривой [2].
Надо сказать, что генераторы
случайных и псевдослучайных
являются важнейшими крипто-
графическими примитивами, от
свойств которых во многом
зависит стойкость всей крипто-
графической системы. Обыч-
ным требованием к таким гене-
раторам является статистиче-
ская неотличимость порожден-
ных ими последовательностей
от случайных равновероятных
последовательностей. Для про-
верки этих свойств разработаны
многочисленные статистические
тесты. Для криптографических
приложений от ГПСЧ требуется
еще и "непредсказуемость" –
невозможность для нарушителя
предсказывать очередной знак
выходной последовательности,
порождаемой генератором с
вероятностью, существенно
отличной от равновероятной,
даже если ему известны все
предыдущие знаки этой после-
довательности. Это подразуме-
вает, что нельзя определить
внутреннее состояние ГПСЧ на
основе его выхода.
С самого начала было ясно,
что скорость работы нашего
генератора является достаточно
низкой за счет вычислений на
эллиптических кривых, но зато
его стойкость, по утверждению
докладчика, Дона Джонсона,
существенно выше альтерна-
тив, поскольку базируется на
задаче дискретного логариф-
мирования в группе точек
эллиптической кривой. Тогда
же алгоритм Dual EC появился
X9.82 [3].
Однако вскоре были опубли-
кованы исследования, доказы-
вающие, что генератор Dual EC
подвержен различительной
атаке (distinguishing attack) [4],
[5], т.е. вырабатываемые им
последовательности чисел ста-
тистически отличимы от истин-
но случайных. Обычно такого
рода уязвимости считаются кри-
тичными для ГПСЧ и являются
причиной его исключения из
криптографических стандартов,
но не в этот раз…
Комитет по стандартизации
проигнорировал работы, крити-
кующие Dual EC, сославшись
на формальное превышение
сроков их подачи. При этом
некоторые другие, менее суще-
ственные, замечания, поданные
позже срока, все-таки были
учтены. В результате в июне
2006 г. в пакете с другими гене-
раторами псевдослучайных
чисел Dual EC был принят NIST
в качестве криптографического
стандарта [6].
Одновременно с этим алго-
ритм Dual EC стал частью меж-
дународного стандарта – стан-
дарта ISO 18031:2005. И здесь
не обошлось без давления со
стороны властей США. К лету
2003 г. подкомитет 27 объеди-
ненного технического комитета
1 ISO/IEC (Joint Technical Com-
mittee ISO/IEC JTC 1, Information
technology, Subcommittee SC 27,
IT Security techniques) занялся

36 •
gukov 9/6/19 3:51 PM Page 37

КРИПТОГРАФИЯ www.itsec.ru

процессом стандартизации
генераторов случайных чисел.
При этом изначальная версия
стандарта ISO, за которую про-
голосовало 19 стран из 24, не
содержала генератора Dual EC.
Было получено более 150 ком-
ментариев, но большинство из
них были незначительными
исправлениями и пояснениями.
Участники голосования выска-
зывали те или иные замечания
и уточнения к проекту стандар-
та, комментируя его отдельные
пункты и формулировки. Со
стороны США не было конкрет-
ных замечаний, был только
общий комментарий "ко всему
документу", в котором говори-
лось, что текущая версия стан-
дарта "не обладает достаточной
глубиной"1. В качестве альтер-
нативы ISO был предложен аме-
риканский стандарт ANSI X9.82,
как "более тщательно прорабо-
танный"2. В результате США,
по сути, навязали ISO свою вер-
сию стандарта, включающую
Dual EC, которая в итоге и была
принята [7].
Параллельно с процессом Рис. 1. Электронная переписка между Дж. Келси и Д. Джонсоном от 27.10.2004 [18]
продвижения Dual EC шел про-
цесс его критики со стороны могли изначально выбрать псевдослучайных чисел, и алго- Джон Келси – Дону
независимых экспертов. В авгу- число d, а затем вычислить ритм Dual EC, имеет офици- Джонсону: "Знаете ли вы,
сте 2007 г. на конференции точку Q как dP. Подобное пред- альных авторов – Элейн Баркер откуда взялось Q в
CRYPTO-2007 сотрудники Mic- положение подтверждается и (Elaine Barker) и Джон Келси Dual_EC_DRBG?"
rosoft Дэн Шумов и Нильс Фер- следующей перепиской между (John Kelsey), оба сотрудники Дон Джонсон – Джону
гюсон продемонстрировали воз- Дж. Келси и Д. Джонсоном, NIST. В то же время существуют Келси: "P = G.Q, по сути,
можность существования лазей- которую приводят авторы многочисленные подтвержде- открытый ключ для некото-
ки в Dual EC [8]. В этом алго- статьи [18], посвященной исто- ния того, что ни Келси, ни Бар- рого случайного закрытого
ритме при генерации случайных рии Dual EC (рис. 1). По сути, в кер не были разработчиками ключа. Кроме того, Q может
чисел используются две точки ней говорится, что мы имеем Dual EC, более того, они даже быть получена как еще одна
эллиптической кривой: P и Q. дело с асимметричным SETUP- не чувствовали себя компетент- каноническая точка G, но
С помощью точки P задается механизмом в структуре Dual ными давать комментарии по АНБ отвергло эту идею и
внутреннее состояние генера- EC, при этом Q играет роль поводу Dual EC, отсылая по запретило мне это публично
тора, а точка Q используется открытого ключа SETUP-меха- этому поводу к сотрудникам обсуждать…"
для вычисления выхода гене- низма, а d – роль секретного АНБ, например, переписка
ратора. Если известна связь ключа [1]. между Э. Баркер и М. Кампанья Национальный институт
между точками P и Q (т.е. такое Таким образом, наличие ука- (рис. 2), приведенная в [18]. стандартов и технологий
число d, что Q = d • P), то по занной скрытой лазейки в алго- Вскоре после конференции, США – (англ. The National
нескольким известным значе- ритме Dual EC в принципе воз- в ноябре 2007 г., вышла раз- Institute of Standards and Tech-
ниям выхода можно вычислить можно, хотя ни доказать, ни громная статья Брюса Шнайера nology, NIST). Официальная
текущее внутреннее состояние опровергнуть ничего нельзя. [9], в которой он советовал ни задача института – "продви-
генератора, а значит, можно Из приведенной выше пере- при каких обстоятельствах не гать инновационную и инду-
предсказать все последующие писки видно еще одно немало- использовать генератор Dual стриальную конкурентоспо-
генерируемые им числа3. важное обстоятельство – роль EC, тем более что и в стандар- собность США путем разви-
В стандарте точки P и Q зада- АНБ в разработке и принятии тах NIST, и в ISO есть альтер- тия наук об измерениях, стан-
ны. Поскольку задача дискрет- стандарта Dual EC. Ни в одном нативы. дартизации и технологий с
ного логарифмирования являет- из первоначальных материалов, Другой способ избежать воз- целью повышения экономи-
ся вычислительно трудной, то посвященных нашему стандар- можной закладки в Dual EC – ческой безопасности и улуч-
найти такое d, что Q = dP, на ту, не указан его автор или раз- это выработать собственные шения качества жизни". Вме-
данный момент невозможно. Но работчик. Официальная публи- точки P и Q и запускать генера- сте с Американским нацио-
дело в том, что эти точки зада- кация NIST, содержащая, наря- тор с этими новыми значения- нальным институтом стандар-
ны авторами стандарта, а они ду с другими генераторами ми. Формально NIST разрешил тов (ANSI) участвует в разра-
ботке стандартов и специфи-
1
We feel that this document is lacking sufficient depth in many areas and simply is not developed enough каций к программным реше-
to be an ISO standard… [10]. ниям, используемым как в
2
We do feel that ANSI X9.82 Random Bit Generation standardization work is much further developed государственном секторе
and should be used as the basis for this ISO standard [10]. США, так и имеющим ком-
3
Детально принцип работы генератора DUAL_EC_DRBG и механизм лазейки будет разобран мерческое применение.
в разделе 2. https://ru.wikipedia.org

• 37
gukov 9/6/19 3:51 PM Page 38
ТЕХНОЛОГИИ
Рис. 2. Электронная переписка между Э. Баркер и М. Кампанья, от 02.03.2006 [18]
Элейн Баркер – Мэттью
Кампанья, копия Джону
Келси: "Мэтт, Джон – не тот
человек, которому можно
задавать вопросы касатель-
но Dual_EC_DRBG. Я пере-
адресовала ваше письмо
Дебби Уоллнеру и Бобу Кар-
коска из АНБ. Элейн".
SIGINT – радиоэлектрон-
ная разведка (англ. Signals
Intelligence), включает пере-
хват каналов связи. BULL-
RUN – секретная программа
по дешифрованию онлайн-
коммуникаций и данных,
которая осуществляется
Агентством национальной
безопасности США.
В сентябре 2013 г. NIST
выпустил рекомендации по
отказу от использования
Dual EC [13], но при этом
алгоритм все еще оставался
частью стандарта и некото-
рые криптопродукты исполь-
зовали его. В декабре 2013
г. в документах, обнародо-
ванных Сноуденом, была
обнаружена информация,
что компания RSA Security
получила от АНБ $10 млн
за использование алгоритма
Dual EC в криптобиблиотеке
BSAFE в качестве основного
генератора псевдослучай-
ных чисел [14]. RSA не под-
твердило и не опровергло
эту информацию, сообщив,
что они "всегда действуют
в интересах своих клиен-
тов". АНБ от комментариев,
разумеется, воздержалось.
38 •
ние генератора и вырабатывае-
мые псевдослучайные биты.
В упрощенном варианте, если
дополнительная строка additio-
nal_input не задана, то
si = φ (x(si - 1P)), (1)
ri = φ (x(siQ)), (2)
где x(•) – выбор x-координаты
точки эллиптической кривой,
а φ(•) – представление элемента
поля в виде битовой строки
использование альтернативных эксплуатацию уязвимости Dual (в формате Big Endian старшие
(сгенерированных пользовате- EC [16]. Их статья показала, биты записываются первыми).
лем) P и Q, но на практике ока- как вычислять ключи протокола В силу сложности задачи дис-
залось, что это существенно TLS, используя знание связи кретного логарифмирования
усложняет разработчикам сер- между точками P и Q (число d, обновление внутреннего состоя-
тификацию соответствующего "ключ лазейки"). ния по формуле (1) должно
продукта на соответствие FIPS- Вскоре после этого RSA Secu- обеспечить стойкость генера-
140-2 [11]. rity выпустила рекомендации тора к обратному перебору
После разоблачений Эдварда для пользователей библиотеки (Backtracking Resistance).
Сноудена у криптографического BSAFE: не использовать гене- Последнее означает, что даже
сообщества не осталось сомне- ратор Dual EC. если в какой-то момент ском-
ний, что история Dual EC была В июне 2015 г. вышла новая прометировано внутреннее
частью масштабных программ версия рекомендаций NIST [17], состояние генератора, то все
BULLRUN и SIGINT АНБ по в которой алгоритм Dual EC равно невозможно восстано-
ослаблению криптографических уже отсутствовал. Конец исто- вить предыдущие внутренние
стандартов и встраиванию лазе- рии… Точка. состояния и получить ранее
ек в коммерческие продукты выработанные случайные
[12]. Годовой бюджет АНБ на Описание алгоритма числа.
подобные мероприятия состав- Пусть задана эллиптическая Блок ExtractBits извлекает из
лял порядка $250 млн. кривая в форме Вейерштрасса: пришедшей на вход битовой
Некоторые аффилированные y2 = x3 +ax = b mod p, строки правые outlen бит. При
с АНБ математики продолжали где p > 3 – простое число, этом значение outlen должно
отрицать возможность практи- точка P = (Px, Py) – порождаю- делиться на 8 и быть не больше,
ческого использования лазейки щий элемент циклической под- чем 240 для кривой P-256, 368
в Dual EC. "Их глаза широко группы группы точек эллипти- для P-384 и 504 для P-521. То
открываются, когда я говорю о ческой кривой, r – порядок этой есть от x-координаты точки siQ
том, как трудно на самом деле подгруппы, Q = (Qx, Qy) – неко- берутся младшие outlen бит
получить информацию, которую торая ненулевая точка той же ("отбрасываются" как минимум
они предполагают получить подгруппы, отличная от P.5 два старших байта).
такими атаками... Я бросил им В приложении А.1 стандарта Презентация генератора [2]
вызов: предложил сгенериро- NIST версии 2006 г. [6] были обосновывала необходимость
вать свои собственные пара- определены фиксированные использования операции
метры и показать мне, что они значения параметров p, r, a, b, ExtractBits тем, что иначе гене-
в действительности смогут вос- Px, Py, Qx, Qy для кривых P-256, ратор становится предсказуе-
становить таким способом. P-384, P-521. мым в некоторых ситуациях.
Никто пока этого не сделал"4,– Стойкость генератора бази- Дело в том, что количество
заявил Ричард Джордж (Richard руется на сложности решения точек эллиптической кривой
George) в мае 2014 г. [18]. Заме- задачи дискретного логариф- приблизительно равно размер-
тим, что сам Ричард Джордж мирования в группе точек ности поля: по теореме Хассе
работал в АНБ с 1970 по 2011 г., эллиптической кривой, т.е. на [20], порядок m абелевой группы
а затем перешел в RSA Security, нахождении такого числа d, что точек эллиптической кривой
где курировал финансируемые Q = dP.6 удовлетворяет неравенству
правительством проекты [15].
Вызов Ричарда Джорджа был Основная идея
принят группой математиков, Общая схема работы генера-
и уже в августе 2014 г. они про- тора Dual EC показана на рис. 3. Из уравнения Вейерштрасса
демонстрировали реальную Значения s и r задают, соот- легко понять, что если точка
(а не только теоретическую) ветственно, внутреннее состоя- (x, y) лежит на эллиптической
4
“Their eyes open wide when I talk about how how hard it is to really get the information they assume
they just get to attack this thing... I’ve challenged any of them to actually generate their own parameters
and show me that in real life they can recover that. No one has done it yet" [18].
5
Слово Dual в названии алгоритма объясняют использованием в его работе двух точек.
6
В работе алгоритма Dual EC задействованы вычисления в группе точек эллиптической кривой [20],
где в силу аддитивной записи групповой операции степень элемента P-группы превращается в его
кратное n • P или короче – nP, а задача дискретного логарифмирования по основанию P принимает вид:
для данного Q найти такое n, что nP = Q.
gukov 9/6/19 3:52 PM Page 39
КРИПТОГРАФИЯ
кривой, то и точка (x, -y) тоже.
Таким образом, каждой x-коор-
динате соответствуют две точки,
а значит количество различных
координат можно оценить как
откуда следует, что количество
значений, не являющихся x-
координатами, оценивается как
Мы видим, что почти полови-
на значений не являются коор-
динатами точек эллиптической
кривой, т.е. никогда не будут
выработаны генератором без
усечения, а следовательно
такой генератор вырабатывает
не всевозможные битовые стро-
ки, а только какое-то подмно-
жество. По утверждению авто-
ров алгоритма [2], отсечение
13 старших (левых) бит позво-
ляет избавиться от этого недо-
статка, поскольку "валидные" и
"невалидные" значения x рас-
пределены достаточно хаотично
(к сожалению, точного объясне-
ния, откуда взялось число 13,
нигде не приводилось, как
и многие другие пояснения
к предложенной конструкции).
Итак, пусть необходимо выра-
ботать requested_number_of_bits
бит, генератор ранее инициа-
лизирован (s – внутреннее
состояние), на вход подана
строка additional_input (если не
задана, то считаем
additional_input = 0).
Обозначим за TRUNC_R(a,
len) – правые (младшие) len бит
строки a, а за TRUNC_L(a, len) –
левые (старшие) len бит стро-
ки a. Тогда алгоритм работает
следующим образом:
1. temp = Null;
2. s = s ⊕ additional_input;
3. s = φ (x(sP));
4. r = φ (x(sQ));
5. temp = temp||TRUNC_R(r,
outlen);
6. Если len(temp) < reque-
sted_number_of_bits, то перейти
к 3;
7. returned_bits =
TRUNC_L(temp,
requested_number_of_bits).
В данном описании мы опу-
стили некоторые шаги, связан-
ные с переинициализацией гене-
ратора, проверкой корректности
всех длин данных, дополнитель-
ной обработкой additional_input.
7
Provide Backtracking Resistance [16].
Рис. 3. Алгоритм Dual EC [6]
Заметим, кстати, что при выра-
ботке достаточно длинной бито-
вой строки additional_input
используется только в первом
блоке данных. К этому аспекту
мы еще вернемся, когда будем
рассматривать структуру лазей-
ки в данном алгоритме.
Модификация
алгоритма
В обновленной версии стан-
дарта NIST 2012 г. алгоритм
Dual EC был немного модифи-
цирован [21]. В конце алгоритма
был добавлен еще один шаг:
s = φ (x(sP)),
т.е. было сделано дополнитель-
ное обновление внутреннего
состояния. В комментариях
к изменениям необходимость
данного изменения объяснена
"обеспечением стойкости
к стойкости к раскрутке гене-
ратора в обратную сторону"7.
Однако более вероятна версия,
что данное исправление делает
лазейку в алгоритме более уни-
версальной, об этом мы рас-
скажем чуть позже.
Лазейка с защитой
Сама математическая струк-
тура алгоритма Dual EC позво-
ляет легко спроектировать
лазейку. Действительно, так как
P – порождающий элемент под-
группы группы точек эллипти-
ческой кривой, а Q – нетриви-
альный элемент этой же под-
группы, то существует число d:
Q = dP.
Далее будем называть d клю-
чом лазейки. Мы покажем, что
знание d помогает вычислять
внутреннее состояние генера-
тора на основе полученной
битовой строки. Напомним, что
r – порядок подгруппы, порож-
денной точкой P. Пусть e зада-
ется формулой:
www.itsec.ru
e = d-1 mod r. Американский нацио-
нальный институт стандар-
Тогда тов (англ. American National
Standards Institute, ANSI)
P = eQ. осуществляет надзор за
разработкой и использова-
Для начала рассмотрим схему нием стандартов путем
без additional_input. Из формул аккредитации процедур
(1) и (2) следует: организаций, разрабаты-
вающих стандарты. ANSI
(3) также определяет конкрет-
ные стандарты как амери-
где Si+1 = siP и Ri = siQ – соот- канские национальные стан-
ветствующие точки эллиптиче- дарты, или ANS. –
ской кривой. https://ru.wikipedia.org
Таким образом, если знать
ключ лазейки и точку Ri для
некоторого момента времени i,
то можно вычислить все после-
дующие внутренние состояния
генератора и, соответственно,
определить все его дальнейшие
выходы.
Правда, в алгоритме Dual EC
известна только часть x-коор-
динаты точки Ri. Тем не менее
всю точку Ri можно восстано-
вить перебором.
Шумов и Фергюсон [8] пред-
ложили следующий алгоритм
для подбора "кандидатов" на
внутренние состояния.
Дано: oj – блок выходной
битовой строки ключевого гене-
ратора.
Найти: множество возмож-
ных внутренних состояний
_
Если y = √z mod p существует,
то A = (x, y) – точка кривой,
тогда
Σ = Σ U {φ (eA)}.
Мощность множества Σ при-
близительно равна 215, посколь-
ку всего есть 216 вариантов
• 39
gukov 9/6/19 3:52 PM Page 40
ТЕХНОЛОГИИ
Помимо деятельности в
области стандартизации в
США, ANSI отстаивает поли-
тическую и техническую
позицию США в междуна-
родных организациях по
стандартизации. ANSI
является официальным
представителем США в двух
основных международных
организациях по стандарти-
зации – Международной
организации по стандарти-
зации (the International Orga-
nization for Standardization –
ISO) и Международной элек-
тротехнической комиссии
(the International Electrotech-
nical Commission – IEC).
ANSI участвует почти во
всей технической програм-
ме ISO и IEC и управляет
многими ключевыми коми-
тетами и подгруппами. Во
многих случаях стандарты
США передаются в ISO и
IEC через ANSI, где они пол-
ностью или частично прини-
маются в качестве междуна-
родных стандартов.
https://ru.wikipedia.org
40 •
выбора, а квадратичными выче-
тами будет примерно половина
из значений x = u|oj. Напомним,
что нахождение числа y выпол-
няется за полиномиальное
время [22].
Общий алгоритм использо-
вания лазейки следующий:
l запросить outlen + δ псевдо-
случайных бит;
l на основе первых outlen бит
сформировать множество Σ воз-
можных внутренних состояний
генератора;
l для каждого s ∈ Σ вычислить
следующие δ бит и сравнить с
теми, которые выдал генера-
тор.
Шумов и Фергюсон провели
эксперимент для кривой P-256,
заменив точку Q на вычислен-
ную ими точку Q2 = d2P. При
генерации 32 байт (т.е. δ = 16)
внутреннее состояние генера-
тора определялось всегда одно-
значно.
Возможности
модификации Dual EC
для защиты от лазеек
Самое радикальное и про-
стейшее противодействие – не
использовать "напрямую" в
качестве выхода генератора
координаты точки Ri, а каким-
то образом преобразовывать
их так, чтобы по выходу было
затруднительно восстановить
Ri, например "обрезать" x-коор-
динату точки Ri на большее
число бит, переставлять выход-
ные биты и др.
Шумов и Фергюсон предло-
жили две возможные модифи-
кации алгоритма Dual EC, кото-
рые не давали бы возможности
использовать подобного рода
лазейку.
Первая – уже упомянутое
выше усечение x-координаты
более чем на 16 бит. Имеет
смысл брать половину бит x-коор-
динаты. В этом случае состав-
ление множества Σ и перебор
всех его кандидатов становится
вычислительно сложной зада-
чей. Отметим, что стандарт NIST
с первой же редакции [6]
(п.10.3.1.4) запрещает подобную
модификацию "из соображений
производительности".
Вторая рекомендация Шумо-
ва и Фергюсона – вырабатывать
новую случайную точку Q’,
собственную для каждого
экземпляра генератора. Такой
метод надежен, только если
пользователь сам получает
точку Q’ каким-либо доверен-
ным способом, не связанным с
генератором, где эта точка
будет использоваться. В про-
тивном случае разработчик
может заложить в алгоритм
выработку каким-то специали-
зированным образом ключа
лазейки, а затем уже вычислять
Q’ как Q’ = d’P.
Приложение А.2 описывает
возможность генерации собст-
венных P и Q на тех же эллип-
тических кривых, но, как ука-
зывалось выше, при такой реа-
лизации генератора становится
невозможной сертификация
криптографического модуля.
Дополнительно отметим, что
в первоначальной версии Dual
EC защитой от лазейки было
использование additional_input
(см. рис. 3), поскольку внутрен-
нее состояние Si +1 вычислялось
из соотношения Si+1 = siP. Одна-
ко, если подано ненулевое
значение additional_input, то
т.е. формула (3) перестает быть
верной. Сложность взлома бази-
руется на том, что побитовое
сложение происходит с неизвест-
ной пока еще величиной si.
Именно эту проблему решает
модификация стандарта 2012 г.:
добавленное в конце алгоритма
обновление внутреннего состоя-
ния (без учета каких-либо допол-
нительных входных данных) поз-
воляет синхронизировать
информацию у владельца ключа
лазейки с внутренним состоя-
нием генератора. После этого,
когда внутреннее состояние
генератора уже известно, допол-
нительные битовые сложения
никак не мешают предсказаниям
"случайных" чисел, вырабаты-
ваемых генератором.
Практическая атака
на Dual EC
В августе 2014 г. была про-
демонстрирована практическая
эксплуатация лазейки и оцене-
на стоимость такой атаки [16],
[18]. Авторы исследовали четы-
ре варианта реализации Dual
EC: OpenSSL-FIPS, SChannel
(Windows), а также версии
C/C++ и Java библиотеки BSAFE
RSA.
Атака базируется на предпо-
ложении, что атакующий (вла-
деющий к тому же ключом
лазейки) знает случайные биты,
выработанные генератором, и
после этого может вычислить
внутреннее состояние генера-
тора и предсказывать все его
дальнейшие вычисления. Атака
была продемонстрирована на
широко используемом прото-
коле TLS. Данный протокол
состоит из нескольких частей,
одной из которых является так
называемый протокол рукопо-
жатия (TLS handshake), упро-
щенная схема которого пред-
ставлена на рис. 4.
Как видно из рис. 4, клиент и
сервер обмениваются случай-
ными числами – именно этой
информации может быть доста-
точно для восстановления внут-
реннего состояния генератора.
Авторы исследования показали,
что в TLS передается достаточ-
ное для атаки количество слу-
чайных чисел. На первый
взгляд, вырабатывается всего
лишь 28 байт, но идентифика-
тор сеанса – это тоже случайная
битовая последовательность,
генерируемая в большинстве
случаев (но не всегда) тем же
алгоритмом Dual EC.
Поскольку для заданной в
стандарте Dual EC точки Q
значение дискретного логариф-
ма (т.е. ключа лазейки)
неизвестно, то при моделиро-
вании атаки было сгенерирова-
но случайное число d’ и вычис-
лена точка Q’ = d’P. Далее было
необходимо заменить Q на Q’
во всех исследуемых библио-
теках. Поскольку OpenSSL
имеет открытый исходный код,
то подмена точки в OpenSSL-
FIPS была простой задачей.
Для библиотек SChannel,
BSAFE-Java и BSAFE-C потре-
бовался реверс-инжиниринг.
В процессе исследования
выяснилось, что библиотека
OpenSSL-FIPS постоянно выда-
вала ошибку при самодиагно-
стике, если была сконфигури-
рована для использования Dual
EC, из чего можно предполо-
жить, что никто никогда не
использовал данный функцио-
нал. Авторы исследования
исправили эту ошибку и в даль-
нейших экспериментах исполь-
зовали модифицированную вер-
сию библиотеки OpenSSL-fixed.
На табл. 1 показано время
атаки на протокол TLS при
использовании различных крип-
тобиблиотек. Для атаки брали
4-узловой вычислительный кла-
стер на базе 4-ядерных AMD
Opteron 6276 (Bulldozer). Каж-
дый из узлов имел 256 Гбайт
оперативной памяти, а связь
между ними обеспечивалась
Infiniband. Авторы исследования
отмечают, что реально для
атаки достаточно всего 1 Гбайт
оперативной памяти на узел и
не требуется такой быстрой
gukov 9/6/19 3:52 PM Page 41

КРИПТОГРАФИЯ www.itsec.ru

Табл. 1. Время атаки на TLS [18]

связи между узлами. Время
атаки зависело от того, насколь- Криптобиблиотека Время атаки в худшем случае (в минутах)
ко длинную случайную после-
BSAFE-C v1.1 0.04
довательность может сразу
получить злоумышленник, про- BSAFE-Java v1.1 63.96
слушивающий канал, в частно- SChannel I 62.97
сти, от того, используется ли SChannel II 182.64
Dual EC для генерации иденти-
OpenSSL-fixed I 0.02
фикатора сеанса.
Атака на BSAFE-C оказалась OpenSSL-fixed II 83.32
самой легкой, поскольку иден- OpenSSL-fixed III 2k · 83:32
тификатор сеанса вырабатыва-
ется с помощью Dual EC, т.е.
атакующий сразу имеет доста- Заметим, что все перебо-
точное количество информации ры можно выполнять неза-
для взлома лазейки. висимо друг от друга, поэто-
В BSAFE-Java идентифика- му атака хорошо распарал-
тор вырабатывается другим леливается, т.е. время будет
способом, поэтому первый сокращаться пропорцио-
вызов Dual EC – это 28 байт нально количеству исполь-
случайного числа в протоколе зуемых процессоров.
рукопожатия, после которых
вырабатываются 32 байта для
эфемерального ключа Диффи-
Хэллмана. На основе передан-
ных 28 байт требуется сделать
232 попыток, проверяя резуль-
тат по открытому эфемераль-
ному ключу.8
Библиотека SChannel при гене-
рации идентификатора сеанса
использует Dual EC, но преобра-
зует результат некоторым обра-
зом, скрывающим от наблюда-
теля результат работы Dual EC.
Это усложняет восстановление
внутреннего состояния, но не
делает его невозможным. Авто-
ры исследования рассмотрели
два случая: SChannel-I, если зло-
умышленнику известны данные
предыдущих протоколов руко-
пожатия (Handshake), или же
SChannel-II, когда атака прово-
дится в пределах одного сеанса. Рис. 4. Общая схема TLS handshake (рис. из [16])
OpenSSL оказалась един-
ственной библиотекой, исполь- первое же соединение, когда завершения сеанса (на основе
зующей additional_input. Данное счетчик равен 0) и идентифи- сохраненных передаваемых
значение зависело от значения катор процесса (зная особен- данных). Кроме того, если
системного времени в секундах, ности нумерации и порядок целью атаки был не клиент, а
текущего системного времени запуска процессов в системе). сервер, то знание внутреннего
в микросекундах, некоторого Злоумышленнику остается состояния генератора позволяет
внутреннего счетчика и иден- пересчитать текущее время, злоумышленнику вычислить
тификатора процесса. Текущее заданное в секундах, в микро- секретный ключ и затем "под-
системное время в секундах секунды, на это требуется 1 млн менять" сервер, аутентифици-
злоумышленнику известно, попыток. руясь от его имени.
поскольку оно содержится в В последнем случае, когда ни
открытых данных, передавае- счетчик, ни идентификатор про- Заключение
мых в протоколе рукопожатия цесса не известны, требуется Как было отмечено ранее,
TLS, но остальные значения время в 2k раз большее времени работа [16] поставила точку в
требуется угадать. атаки OpenSSL-fixed-II, посколь- истории Dual EC, поскольку про-
OpenSSL-fixed-I предполагает, ку требуется угадать k-бит. демонстрировала не только тео-
что злоумышленник знает addi- Было продемонстрировано, ретическую, но и практическую
tional_input. что атака может выполняться возможность использования
В случае OpenSSL-fixed-II зло- как "онлайн", т.е. в момент встроенной в алгоритм лазейки.
умышленник знает значение соединения клиента и сервера, В то же время эта история
счетчика (например, он атакует так и "офлайн", уже после наглядно демонстрирует упорст-

8
Эфемеральными (или разовыми) ключами протокола Диффи-Хеллмана называют случайные числа,
участвующие в вычислениях, производимых в рамках этого протокола. Открытыми эфемеральными
ключами называют информацию, которой обмениваются участники протокола по открытому каналу.

• 41
gukov 9/6/19 3:52 PM Page 42
ТЕХНОЛОГИИ
во, с которым спецслужбы гото-
вы продвигать необходимые им
стандарты и реализации ослаб-
ленных алгоритмов, невзирая
на прямые обвинения со сторо-
ны экспертного сообщества.
Эта история демонстрирует
также серьезную зависимость
международных институтов
стандартизации (а уж тем
более – национальных институ-
тов стандартизации США) от
спецслужб США: необходимые
последним стандарты прини-
маются, невзирая на то, что
ведущие математики, крипто-
аналитики, специалисты по
информационной безопасности
в один голос заявляют о нена-
дежности таких стандартов.
История алгоритма Dual EC
и его бесславный конец – гряз-
ное пятно на репутации солид-
ных (во всяком случае, до сей
поры) организаций – NIST, ISO.
Разоблачение действий АНБ
имело двойной эффект.
С одной стороны, экспертное
сообщество окончательно
утратило доверие к деятель-
ности спецслужб. В дальней-
шем это проявилось, напри-
мер, при попытках АНБ утвер-
дить в качестве международ-
ных стандартов малоресурсной
криптографии шифры Simon
и Speck (о чем мы постараемся
рассказать в следующих стать-
ях, когда дойдем до рассмот-
рения лазеек в симметричных
алгоритмах).
С другой стороны, спецслуж-
бы и правоохранительные орга-
ны все меньше скрывают свои
действия по ослаблению крип-
тоалгоритмов и фактическите-
перь стремятся перейти к леги-
тимизации лазеек. То есть
результатом разоблачения
стало усиление давления со
стороны спецслужб на граж-
данскую криптографию.
Не исключено, что вскоре
точка в истории Dual EC пре-
вратится в многоточие...
Литература
[1] Жуков А. Е., Маркелова А. В.
Криптография и клептография:
скрытые каналы и лазейки
в криптоалгоритмах // Informa-
tion Security / Информационная
безопасность. – 2019. – № 1 –
C. 36–41.
[2] Johnson D. B. Number theo-
retic DRBGs // NIST RNG Works-
hop. July 20, 2004. https://crypto-
me.org/2013/12/NumberTheore-
ticDRBG.pdf
[3] ANS X9.82, Part 3 – DRAFT
June 2004. http://citeseerx.ist.psu.
42 •
edu/ viewdoc/download;jsessio-
nid=D96134C539F238DD741A65
F49189E076?doi=10.1.1.6.1272&r
ep=rep1&type=pdf
[4] Gj steen K. Comments on
Dual-EC-DRBG/NIST SP 800-90,
draft December 2005, 2006.
https://www.researchgate.net/pub-
lication/228960119_Comments_o
n_Dual-EC-DRBGNIST_SP_800-
90_Draft_December_2005
[5] Schoenmakers B., Sidorenko
A. Cryptanalysis of the Dual Elliptic
Curve Pseudorandom Generator
// Cryptology ePrint Archive,
Report 2006/190 (2006).
https://eprint.iacr.org/2006/190.pdf
[6] Barker E., Kelsey J. NIST
Special Publication 800-90.
Recommendation for Random
Number Generation Using Deter-
ministic Random Bit Generators.
June 2006 https://nvlpubs.nist.gov/
nistpubs/Legacy/SP/nistspecial-
publication800-90.pdf
[7] ISO/IEC 18031:2005. Infor-
mation technology – Security tech-
niques – Random bit generation.
[8] Shumow D., Ferguson N.
On the possibility of a back door
in the NIST SP800-90 Dual EC
PRNG // CRYPTO 2007 Rump
Session, August 2007. http://rump
2007.cr.yp.to/15-shumow.pdf
[9] Schneier B. Did NSA put a
secret backdoor in new encryption
standard? // Wired Magazine,
2007. https://www.wired.com/
2007/11/ securitymatters-1115/
[10] Joint Technical Committee
ISO/IEC JTC 1, Information tech-
nology, Subcommittee SC 27, IT
Security techniques. US national
body comments on ISO/IEC 2nd
CD 18031. Attachment 10 to SC27
N3685, 2003. https://projectbull-
run.org/dual-ec/documents/us-
comment-to-iso.pdf.
[11] FIPS-140-2, Security Requi-
rements for Cryptographic Modu-
les, Federal Information Proces-
sing Standards Publication 140-
2, U.S. Department of Commer-
ce/N.I.S.T., National Technical
Information Service, 2001.
[12] Ball J., Borger J., Gre-
enwald G. Revealed: how US and
UK spy agencies defeat internet
privacy and security // The Guar-
dian. September 6, 2013
https://www.theguardian.com/worl
d/ 2013/sep/05/nsa-gchq-encryp-
tion-codes-security
[13] Supplemental ITL bulletin
for September 2013. NIST opens
draft special publication 800-90a,
recommendation for random num-
ber generation using deterministic
random bit generators, for review
and comment. https://csrc.nist.gov/
csrc/media/publications/shared/
documents/itl-bulletin/itlbul2013-
09-supplemental.pdf
[14] Menn J. Exclusive: Secret
contract tied NSA and security
industry pioneer // Reuters.
December 21, 2013 https://www.
reuters.com/ article/us-usa-secu-
rity-rsa/exclusive-secretcontract-
tied-nsa-and-security-industry-pio-
neer-idUSBRE9BJ1C220131220
[15] https://www.rsaconferen-
ce.com/speakers/richard_george
[16] Checkoway S., Fredrikson
M., Niederhagen R., Everspaugh
A., Green M., Lange T., Ristenpart
T., Bernstein D. J., Maskiewicz J.,
Shacham H. On the practical
exploitability of Dual EC in TLS
implementations // Fu K., Jung J.
(eds.) Proceedings of the 23rd
USENIX Security Symposium, San
Diego, CA, USA, p. 319–335.
USENIX Association (2014).
[17] Barker E., Kelsey J. NIST
Special Publication 800-90A.
Recommendation for Random
Number Generation Using Deter-
ministic Random Bit Generators.
June 2015. https://nvlpubs.nist.
gov/nistpubs/ SpecialPublica-
tions/NIST.SP.800-90Ar1.pdf
[18] Bernstein D. J., Lange T.,
Niederhagen R. Dual EC: A Stan-
dardized Back Door // Ryan
P.Y.A., Naccache D., Quisquater
J.-J. (eds.) The New Codebrea-
kers. LNCS, vol. 9100, p. 256–
281. Springer, Heidelberg (2016).
[19] Young A., Yung M. Klep-
tography: using Cryptography
against Cryptography // Advances
in Cryptology – EUROCRYPT’97. –
Lecture Notes in Computer Sci-
ence, Vol.1233. – Springer, 1998. –
Р. 62–74.
[20] Болотов А.А., Гашков
С.Б., Фролов А.Б., Часовских
А.А. Элементарное введение в
эллиптическую криптографию:
Алгебраические и алгоритми-
ческие основы. – М.: КомКнига,
2006. – 328 с. ISBN 5-484-
00443-8.
[21] Barker E., Kelsey J. NIST
Special Publication 800-90A.
Recommendation for Random
Number Generation Using Deter-
ministic Random Bit Generators.
January 2012 https://nvlpubs.nist.
gov/nistpubs/ Legacy/SP/nistspe-
cialpublication800-90a.pdf
[22] Shanks D. Five number-
theoretic algorithms // Proceedings
of the Second Manitoba Confe-
rence on Numerical Mathematics,
Congressus Numerantium, №. VII,
1973. – Р. 51–70. l
Ваше мнение и вопросы
присылайте по адресу
is@groteck.ru